Producenci oszukują na aktualizacjach bezpieczeństwa, telefony prezentują fałszywe dane

Adrian Celej Android 2018-04-13

Google ze względu na ogromną fragmentację Androida wprowadziło aktualizacje bezpieczeństwa. Założenia były świetne – poprawki były wydawane niezależnie od wersji (producent mógł udostępnić poprawkę dla przestarzałego wydania Androida), nie implementowały także żadnych zmian w samym systemie, co miało ułatwić pracę producentom. Finalnie mieli skorzystać na tym użytkownicy, którzy nie musieli martwić się o bezpieczeństwo swoich urządzeń. Wersję poprawek bezpieczeństwa można sprawdzić w ustawieniach. Ufacie podanym tam informacjom? Jeśli tak, to robicie ogromny błąd…

To tak nie działa

Aktualizacja bezpieczeństwa zawiera zbiór łatek. Nie jest to jeden plik, poprawki te nie są jednością. Oznacza to, że producent może nie zaimplementować wszystkich. Niestety, okazuje się, że wszyscy korzystają z tej możliwości, nawet Google. Badacze z Security Research Labs przetestowali 1200 smartfonów, w większości dopatrzono się nieprawidłowości.

Jak poważny jest problem?

W przetestowanych smartfonach zdarzało się, że system nie był wyposażony w łatki, które powinien mieć według informacji z ustawień. Powód jest prosty – informacja ta jest wpisywana przez producenta i można ustawić tam dosłownie wszystko. Skala problemu jest zależna od producenta. Najlepiej wypadło Google, w przypadku którego problem jest marginalny, a Pixele są naprawdę wyposażone we wszystkie poprawki. Średnio maksymalnie jednej poprawki brakuje także w telefonach od Samsunga, Sony i Wiko. Od 1 do 3 poprawek brakuje w urządzeniach od Xiaomi, OnePlusa i Nokii. Dalej z wynikiem 3-4 brakujących łatek klasyfikuje się Huawei, HTC, LG i Motorola. Najgorzej wypadły telefony od ZTE i TCL (BlackBerry?). Wynik powyżej 4 brakujących łatek może oznaczać, że ci producenci mogą jedynie zmieniać datę poprawek bezpieczeństwa nie modyfikując w żadnym stopniu systemu.

Dlaczego tak się dzieje?

Do tematu można podejść na 2 sposoby – broniąc producentów i ich krytykując. Z jednej strony pewne poprawki mogły nie dotyczyć danych urządzeń, poprawiony element systemu mógł zostać zmodyfikowany przez producenta w ramach nakładki i implementacja wydanej przez Google poprawki nie miałaby sensu. Nie można także wykluczyć tego, że dany element systemu został naprawiony w inny sposób i system nie jest już narażony na ataki. Z drugiej strony nie da się wykluczyć celowego oszustwa. To bardzo prawdopodobne, że któryś z producentów pokusił się na zmienienie linijki tekstu zamiast implementowania nowych poprawek.

Zobacz też: Smartfon z Androidem i sekunda. Tyle wystarczy, by sczytać dane z cudzej karty

Google reaguje

Według Google niektóre z testowanych urządzeń mogły nie posiadać certyfikatu GMS, przez co jedynie psuja wynik badania. Coś w tym jest, ponieważ zdecydowanie najwięcej na uszami mają telefony z Chin. Teorię tą potwierdza fakt, że największe problemy mają telefony z procesorami MediaTeka, gdzie średnio pomija się 10 łatek. Hermetyczne Exynosy to średnio jedynie 0,5 pominiętej łatki, w przypadku Snapdragonów było to 1,1. Całkiem dobrze wypadł Huawei, jak na chińskiego producenta 1,9 pominiętej łatki jest dobrym i wytłumaczalnym wynikiem. Google współpracuje z badaczami, chcą wyciągnąć ze sprawy jak najwięcej wniosków.

Źródło: Android Police



  • wl

    Dziwne że tego typu X@ tworzą zjebusy CEO z Polski

    • Martina Neumayer

      Trafiony.. zatopiony! hahah 😀

  • Martina Neumayer

    I to boskie wręcz tłumaczenie się certami.. 😂😂😂
    Wiadomo, że bez porównania binarek nie ma co nawet marzyć o info, jakie w ogóle fonik posiada fix’y i w jakich wersjach.

    Szkoda, że nie podaliście linka do apek, którymi w miarę możliwości taki test zrobić sobie można. Jedną z nich może być na przykład „SnoopSnitch”. Polecam sobie zerknąć.. można się mocno zdziwić 😋

  • stark2991

    Cóż się dziwić. Niektórzy wręcz uzależniają zakup telefonu od stosunku producenta do wydawania tych łatek, więc teraz stanie się to kolejnym marketingowym hasełkiem, które niewiele znaczy.

  • maxprzemo

    ro.build.version.security_patch wystarczy edytować ten wpis w pliku build.prop i mamy dowolną datę łatek 😉

    • To tak nie działa, jak edytujesz ten plik ręcznie to przestanie Ci działać np. czytnik linii papilarnych. 🙂

      • Michał

        Albo pralka 🙂

        • Mateusz Mati

          Mi, po zmianie daty naprawiły się klawisze, a lodowka zaczela lepiej chlodzic co jest bardzo dobra informacja przed zblizajacym się latem. Naprawde polecam

      • Martina Neumayer

        Bo nie masz jak podpisać pliku(ów) po ich zmianach. A gdy masz.. podpisujesz odpowiednim key’em i po problemie.. możesz wyprawiać cuda-wianki z czym chcesz na dobrą sprawę i każda jedna apka, nie mówiąc już o samym systemie to przełknie bez jęknięcia 😉

  • Lookso

    No to niezła draka :v

    • RS2_15237_THE_END

      No, to jest oszustwo, podają datę aktualizacji zabezpieczeń które nie wszyscy faktycznie zrobili.